Grundschule

Risiken nicht vollständig erkannt und bestehende rechtliche Bestimmungen zu wenig beachtet. Dies gilt auf allen Ebenen: selbst das Kultusministerium hat den Preis im Wettbewerb „Smiley-Award" an Internet-Angebote von Schulen (Homepages) vergeben, ohne die datenschutzrechtlichen Anforderungen zu berücksichtigen.

Um mir einen Eindruck über die aktuelle Situation zu verschaffen und Vorschläge für die datenschutzgerechte Realisierung der Anforderungen machen zu können, habe ich eine datenschutzrechtliche Querschnittsprüfung durch die verschiedenen Schulformen vorgenommen, die ich allerdings auf die EDV-Nutzung beschränkt habe. Durch Vorortprüfung von je einer ausgewählten Schule aus den 6 verschiedenen Schulformen (Grundschule, Erweiterte Realschule, Sekundarschule, Gesamtschule, KBBZ, Gymnasium) sollte ein Bild über den datenschutzrechtlichen Stand in den Schulen und das entsprechende Problembewusstsein bei den Lehrkräften entstehen.

Als Ergebnis kann ich allgemein feststellen:

Problembewusstsein und Kenntnisstand

In allen geprüften Schulen haben sich sehr engagierte Lehrer durch Fortbildung und Literaturstudium umfangreiche Kenntnisse erarbeitet und, teilweise mit Unterstützung fachkundiger Eltern oder Firmen, ComputerInstallationen vorgenommen und (z. T. sogar vernetzte) Internet-Zugänge realisiert. Wie zu erwarten war, wurde bezüglich des Datenschutzes ein umfassendes Spektrum - von Minimalerfüllung bis hin zu fast vollständiger Erfüllung - der entsprechenden Anforderungen angetroffen. Dies hängt selbstverständlich auch ab von dem datenschutzrechtlichen Kenntnisstand und Problembewusstsein der handelnden Personen (Lehrer, Schüler, Eltern, Schulaufsicht), der Größe und Finanzkraft der Schule und ihrer personellen und räumlichen Ausstattung. Einen entscheidenden Einfluss haben auch die bisherigen Vereinheitlichungsbemühungen des Ministeriums bezüglich Schulverwaltungssoftware (z. B. BBZ, SEKI, Winschool), da damit für die „formalen" datenschutzrechtlichen Pflichten (Freigabe, Dienstanweisung und Meldung zum Dateienregister) Muster vorliegen und einfacher umzusetzen waren.

In den Schulen werden an personenbezogenen Daten im Wesentlichen Schülerdaten und Lehrerdaten verarbeitet, daneben auch Daten von Erziehungsberechtigten und Mitgliedern der Mitbestimmungsgremien. Es war nur teilweise bewusst, dass dies den Regelungen des SDSG und der Verordnung des Bildungsministeriums über die Erhebung, Verarbeitung und sonstigen Nutzung personenbezogener Daten in den Schulen vom 3.11. unterliegt.

Besondere Unsicherheit war festzustellen, wenn es um das Einstellen personenbezogener Angaben in etwaige Internet-Angebote ging; spezielle Informationen fehlten, auch mein Merkblatt über Anforderungen an InternetAngebote und die Internet-Nutzung öffentlicher Stellen war nicht bekannt.

Bei der Erörterung der Problematik wurde von Seiten der Schulen mehrfach darauf verwiesen, dass in Internet-Seiten enthaltene Daten schon in (lokalen) Informationsblättern, Broschüren, Schülerzeitungen, Telefonbüchern und Zeitungen veröffentlicht sind; übersehen wurde dabei jedoch, dass mit der automatisierten Verarbeitung, die durch die Funktionalität von Suchmaschinen besondere Bedeutung erhält, wesentlich höhere Risiken für das informationelle Selbstbestimmungsrecht der Betroffenen entstehen.

Prüfergebnisse

Aus dem Saarländischen Datenschutzgesetz folgt insbesondere, dass

· die Verfahren mit der Verarbeitung personenbezogener Daten vor ihrem erstmaligen Einsatz und einer wesentlichen Änderung formell freizugeben sind (§ 8 Abs. 2 SDSG) Ergebnis: nur zu einem Teil der Verfahren gab es diese Freigabe (z. B. BBZ, SEKI, Winschool); bei keinem der Internet-Angebote konnte eine Freigabe festgestellt werden, da den Schulen die datenschutzrechtliche Relevanz nicht bekannt war

· der Landesbeauftragte für Datenschutz vor der Freigabe von Verfahren (§ 8 Abs. 2 SDSG) und der Inkraftsetzung von Verwaltungsvorschriften (§ 8 Abs. 1 SDSG) zu hören ist Ergebnis: wie oben

· die Verarbeitung von personenbezogenen Daten nur auf gesetzlicher Grundlage oder mit Zustimmung des Betroffenen erlaubt ist (§ 4 Satz 1 SDSG), wobei die Einwilligung grundsätzlich der Schriftform bedarf (§ 4 Satz 2 SDSG) Ergebnis: Gerade bei den Internet-Angeboten lagen keine schriftlichen Zustimmungen vor; teilweise waren die Zustimmungen mündlich eingeholt worden

· bei der Gestaltung und dem Einsatz von Verfahren technische und organisatorische Anforderungen zur Sicherstellung des Datenschutzes zu erfüllen sind (§11 SDSG) Ergebnis: Insgesamt war die Wirksamkeit der festgestellten Datensicherungs- und Datenschutzmaßnahmen beim EDV-Einsatz und insbesondere bei Internet-Angeboten höchst unterschiedlich. Die getroffenen Maßnahmen beruhten auf dem jeweiligen Kenntnisstand der betreuenden Lehrer, die sich zwar bemüht haben, Risiken auszuschalten, doch unsi 90

cher waren, ob die getroffenen Maßnahmen ausreichen; Hausmeister und Putzfrauen besaßen Generalschlüssel und hatten damit unkontrolliert Zugang zu allen Anlagen; Kontrollen erfolgten mit wenigen Ausnahmen durch den Systemverwalter, der sich damit selbst kontrolliert (eine Funktionstrennung besteht nicht); Passworte waren nicht benutzerspezifisch und zu kurz; die BIOS-Konfiguration war teilweise nicht sicher genug

· eine Auftragsdatenverarbeitung vertraglich geregelt sein muss, wobei sich der Auftragnehmer den Bestimmungen des SDSG und der Kontrolle des LfD unterwerfen muss (§ 5 SDSG) Ergebnis: Auftragsdatenverarbeitung stellten wir lediglich bei InternetAngeboten fest. Nur in wenigen Fällen konnten aber schriftliche Verträge vorgelegt werden, in der Regel firmenspezifische Vertragsmuster ohne Beachtung des § 5 SDSG. Aus Kostengründen gab es auch InternetAngebote auf Servern bei Billig-Dienstleistern, wobei die Nutzung per Internet-Anmeldung erfolgte und eine Dokumentation bzw. Verträge nicht vorliegen.

· für jedes Verfahren eine Meldung zum Dateienregister abzugeben ist (§ 23 i. V. m. § 9 SDSG) Ergebnis: wie bei Freigabe und Beteiligung des LfD

Aus der Verordnung des MBKW folgt unter Anderem, dass

· bezüglich personenbezogener Daten eintragungs- und einsichtsberechtigte Personen auf das Datengeheimnis zu verpflichten und über die Datensicherung zu belehren sind (§ 3 Abs. 1 Satz 3 der VO; die Verordnung sieht noch immer eine Verpflichtung - im Sinne des alten Datenschutzgesetzes - vor, die im Interesse einer besseren Information wie im aktuellen SDSG durch eine Unterrichtung ersetzt werden sollte) Ergebnis: nur teilweise lagen schriftliche Verpflichtungserklärungen vor

· personenbezogene Daten nur auf den in der Schule befindlichen oder auf anderen automatischen Datenverarbeitungsanlagen des Schulträgers verarbeitet werden dürfen (§ 5 Satz 1 der VO) Ergebnis: aufgrund der personellen und technischen Gegebenheiten wurden teilweise Daten auf privaten Anlagen verarbeitet (z. B. Zeugnisse, Stundenpläne). Von Schulleitern wurde darauf hingewiesen, dass dieses Verbot der inzwischen eingetretenen technischen Entwicklung und der Situation an den Schulen nicht Rechnung trage.

· Verwaltungsarbeiten nur mit einem ausschließlich dafür bestimmten, nicht auch im Rahmen des Unterrichts verwendeten Rechner und unver